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La pr6sente invention concefne un proc6d6 de s§curisation et 
d'identlfication de messages sur un r^seau, ainsi qu'un dispositif s^curise 
cortespondant 

Un r§seau est constltu6 d'un ensemble de dispositlfs §metteur/ 
r6cepteur adapt6s a echanger des messages par exemple par un bus numerlque, 
par radiodiffusion ou par rinterm^dlaire du reseau internet. 

Pour securiser la circulation de messages transmis sur le reseau entre 
un dispositif 6metteur/r§cepteur s6curis6, couramment appel6 autorite de 
certification, et un dispositif §metteur/recepteur client, il est connu de cliiffrer les 
messages ^ Taide de cl6s de cliiffrement. 

En general, le dispositif emetteur des messages dispose d'une cle de 
chiffrement et le dispositif r6cepteur d*une cle de dechiffrement correspondante. 

Le chiffrement des messages a deux types princlpaux d'applications : 
- la s6curisation d'un message qui consists en une substitution a .un 
texte ciair, d*un texte inintelligible et inexploitabie, 

- I'ldentification d'un message qui consiste a garantir I'origine et 
rint6grit6 d'un message transltant sur le r6seau par utilisation d'une signature 
num6rique. 2 ; 

Dans ces deux types d'applications, il convient de minimlser les 
risques d'interception et de d6chiffrement frauduleux des messages par un tiers, 
ou de falsification par Tapposition frauduleuse d*une signature. 

Differents precedes de cryptographie ont done ete proposes pour 
6viter les cliiffrements ou deciiiffrements non autorises. 

Par exemple, des precedes de cryptographie dits symetriques ont ete 
proposes. Dans ces precedes, la m§me cle, appelee cl§ secrete est utilisee pour 
le chiffrement et le dechiffrement d'un message. Cependant, ces precedes sent 
faiblement securisSs car lorsque la cle secrete est dScouverte, I'ensemble des 
dlspositifs §metteur/r§cepteurdu r6seau estcorrompu. 

Une amelioration a de tels precedes consiste a utiliser des techniques 
dites de derivation de cles sym§triques. La figure 1 ^illustre un exemple 
d'utillsation de cette technique. Elle repr§sente sch6matiquement Tarchltecture 
d'une autorit6 de certification 100 et d'un appareil client 102 donn6 d'un r6seau 
d*appareils aptes a communiquer avec cette autorite de certification. 
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Selon la technique de derivation de d6s sym6trlques, cheque appareil 
client 102 possede sa propre cl6 de chiffrement/d6chiffrement KD,, dlff§rente des 
cl§s des autres appareils du reseau. Cette cl6 est calculee ou derlv§e a partir 
d'un identffiant CIDj stocks dans chaque appareil client 102 et d'une cl6 dite 
5 mattresse MK connue de I'autoritS de certification 100 uniquement. Cette cle 
d§riv6e est utills6e d la fois pour chiffrer et dech'rffrer un message. 

La cl6 d6riv6e KDi est g§n6ree au depart par rautorlt6 de certification 
puis m6moris6e dans chaque appareil client de mani^re securis6e. Ensuite, 
avant chaque §change de message m avec un appareil client donnee, I'autorite 
10 de certification 100 demande ^ I'appareil client 102 son identlfiant CIDi puis 
recalcule la cle d6riv6e KDs du dispositif client concern^ par application d'une 
fonction de derivation ^ I'identifiant CID, et S la cl6 maTtresse MK. Puis, l'autorit§ 
de certification chiffre (notation « E ») ou d6chiffre (notation « D ») le message S 
I'aide de la cl6 d6riv6e calcul6e. La notation E {KD,} (m) correspond au 
1 5 chiffrement du message m S I'aide de la cle KD|. 

Un exemple de techniques dites de derivation de cl§s sym6triques 
utilis6es pour I'identification d'un message est d#crit dans le document WO 
02/19613. 

Cette technique est plus s^curisee qu'un precede sym§trique 
20 classlque car iorsqu'une cie d6rivee d'un appareil client donn6 est pirat§e. 
I'ensembie des appareils clients du reseau n'est pas corrompu car le pirate ne 
peut pas calculer les cles derives des autres appareils. Toutefois, cette technique 
est coQteuse car elie n^cessite la s§curisation de I'ensembie des appareils 
clients. 

25 Par allieurs, des proced6s de cryptographie asym6trique ont ete 

proposes. Ces proced§s se caracterisent par I'emplol d'un couple de cies de 
chiffrement et de d6chlffrement non identiques appel6es cie publique/cle priv^e. 

La figure 2 lllustre un exemple d'utilisatlon d'un procede asym§trique 
dans lequel un appareil client 202. 203 est apte a transmettre un message chiffre 

30 e une autorite de certification 200. 

"~ S^(5rrT;§-i5rgife-d-e asymetrique, ch aque apparei l client 2 ' G2. 203 du 

reseau d'appareils clients comporte une cle publique PubC,. Pubq qui lui est 
propre et qu'il utilise pour chiffrer un message m ^ transmettre. L'autorite de 
certification 200 stocke dans une base de donnees toutes les cies privees 
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correspondant aux cles publiques des appareils clients. Les cles privees sont 
dans Texemple de la figure 2 memoris§es par I'autorite de certification 200 avec 
les Identifiants de chaque appareil client Lorsqu'un appareil client 203 veut 
transmettre un nnessage m chiffrS a i'autorit6 de certification 200, 11 transmet, en 
5 plus du message m chiffre avec sa cle publique E {PubQ} (m), son identifiant 
CIDi de sorte que rautoritd de certification puisse retrouver la cl6 privee 
correspondante PrivQ. Le nnessage m est alors ddchiffrd a i'aide de ia cie privee 
PrivCi. 

Avantageusement, de tels proc6d6s asym§triques ne n6cessitent pas la 
10 securisation des appareils clients. En effet, le piratage d'un appareil client et done 
la d6couverte de sa cl6 publique de chiffrement n'autorise pas le dechiffrement 
du message envoye. Seule la cl§ privee correspondant speciflquement a cette 
cle publique de chiffrement permet le dechiffrement du message. 

Cependant, le principal inconvenient de ce type de proc6de asym§trique 
15 reside dans ia n^cessite pour Tautoritd de certification de gdrer une base de 
donn^es dans iaquelle sont stock^es Tensemble des cl^s privees de tous les 
appareils clients du reseau. Cette base de donn^es n^cessite une m^moire de 
stockage importante. De plus, la recherche d'une cle privee dans cette base jde 
donnSes implique des temps de transfert de message assez long ciui 
20 handicapent les echanges. . ■ 

En variante, des procedes asymetriques ont ete proposes, dans 
lesquels, un unique couple de cles privee/publique chiffre Tensemble des 
messages. Les appareils clients du reseau contiennent done tous la meme cle 
publique et rautorit§ de certification stocke une unique cle privee. Toutefois, ces 
25 precedes ne sont pas suffisamment s6curitaires car le piratage de la cl6 privee 
conrompt Tensemble du reseau des appareils clients. 

Le but de la pr§sente invention est de fournir un proc6d6 de 
chiffrement/d§chlffrement alternatif qui pr6sente un niveau de security §lev6 sans 
n^cessiter le stockage et la gestion d'une base de donn^es de cl§s 
30 asym§triques. 

A cet effet, la pr6sente invention a pour ol?jet un precede de 
chiffrement/dechiffrement d'un message a echanger entre un emetteur et un 
recepteur par Tinterm^diaire d'un r6seau de communication, Temetteur et le 
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r6cepteur 6tant I'un et I'autre d'un dispositif s§curls6 et d'un dispositif client defini 
dans un r6seau de dlspositlfe clients, le proc6d6 comprenant les 6tapes de : 

- realisation d'op6rations de cryptographie asymetrique par le dispositif 
s6curis6 et par le dispositif client d6flnl respectfvement d I'alde d'une cle privee et 

5 d'une cl6 publlque, la cl§ privee §tant diff§rente de la cl6 publique, et 

- envoi d'au moins une donnee publique du dispositif client defini vers 
le dispositif securis§. 

caract6ris§ en ce que le procede comporte en outre, lore de chaque 
§mission/r6ception d'un message chiffre par le dispositif securis6. une 6tape de 

10 determination de la cl6 privee conrespondant ^ la cle publique du dispositif client 
defini. a partir d'une cl6 maTtresse secrete stock6e dans le dispositif s6curls6, et 
de la ou de chaque donnee publique envoyee par le dispositif client d6finl. 

Avantageusement. ce precede utilise les techniques de derivation de 
des symetrlques associees au precede de cryptographie asymetrique. AInsi. les 

15 techniques de derivation ne seront pas utilisees pour generer une cie derivee 
secrete mais pour generer une cie privee d'un couple de cles privee/publique. 

Un autre objet de I'lnvention consiste en un dispositif securise apte a 
echanger des messages avec un dispositif client defini d'un reseau de dispositifs 
clients, sur un reseau de communication, le dispositif securise etant apte d 

20 recevoir au moins une donnee publique propre audit dispositif client defini et 
envoyee par celui-ci prealablement ^ tout echange de messages, le dispositif 
securise comprenant des moyens de realisation d'operations de cryptographie 
asymetrique § j'aide d'une cie privee con-espondant e une cie publique stockee 
dans le dispositif client defini caracterise en ce qu'il comprend. en outre des 

25 moyens de stockage s6curises d'une cie maTtresse. et des moyens de 
detennlnation de ladite cie privee S partir de la de maTtresse et de la ou de 
chaque donnee publique envoyee. 

L'invention sera mieux comprise et illustree au moyen d'un exemple de 
realisation et de mise en oeuvre, nullement iimitatif. en reference aux figures 

30 annexees sur lesquelles : 



Ha figure 1 est une vue schematique de I'architecture d'une autorite 
de certification et d'un appareil recepteur aptes a echanger des messages 
chiffres selon un precede de derivation de des symetriques connu, 
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- la figure 2 est une vue schematlque de Tarchitecture d'une autorite 
de certification et d'un appareil emetteur aptes k 6changer des messages chiffr6s 
selon un proc6de de chiffrement asym§trlque connu, 

- la figure 3 est une vue scli6matique de I'archltecture d'un dlspositif 
5 s6curis6 selon un exennple de realisation de Tinvention pour la generation d'un 

couple de cl§s priv^e/publique lors d'une phase dMnitiallsation des appareils du 
reseau, 

- la figure 4 est un diagramme recapitulatif des differentes Stapes du 
precede de chiffrement/dechiffrement lors de la phase d'initialisation, selon 

10 Texemple de realisation de Tinvention, 

- la figure 5 est une vue sch6matlque de {'architecture d'un dispositif 
s6curis6 et d'un dispositif client pour la securisation d'un message selon 
Texemple de realisation de Tinvention, et 

- la figure 6 est un diagramme recapitulatif des differentes etapes .du 
15 precede de chiffrement/dechiffrement pour la securisation d'un message selpn 

Texemple de realisation de invention, ^ . 

- la figure 7 est une vue schematlque de Tarchitecture d*un dispositif 
securise et d'un dispositif client pour Tidentiftcation d'un message, selon un 
exemple de realisation de Tlnventlon, et . 

20 - la figure 8 est un diagramme recapitulatif des etapes du procede .de 

chiffrement/dechiffrement pour Tidentification d*un message selon Texemple de 
realisation de invention. 

La figure 3 repr6sente sch6matiquement Tarchitecture d'un dispositif 
securise 1 et d'un dispositif client Q. 

25 Le dispositif securise 1 comprend un generateur de nombres 

aieatoires 2, une memoire 3 de stockage d'une cie maTtresse, un module de 
calcul 4 d'une partie di de la cie privee et un module de caicul 5 d'une cie 
publique PubQ. 

Le generateur 2 de nombres aieatoires est apte ^ generer d'une part 
30 un nombre susceptible de constituer la cie dite maitresse MK et d'autre part, une 
pluralite de nombres CID| aptes ^ identifier les dlsposltifs cliepts du reseau. 

Preferentiellement, la cie dite maTtresse MK a une longueur de 128 
bits et les identlfiants CID|, CIDj des dlspositifs clients Q, Cj ont une longueur de 
64 bits. 



10 
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Par ailleurs. le gen^rateur 2 est 6galement apte ^ g§n6rer au hasard 
deux grands nombres premiers impairs, distlncts p at q de 512 bits utilises pour le 
calcul de la cl6 publique par le module de calcul 5. 

La m6moire 3 du disposltif s6curls§ est non volatile de type « ROM » 
ou « EEPROM » ou Equivalent Elle est apte a stocker la cl6 mattresse MK 
g§n6r6e par le gen§rateur 2, Comme la cl§ maitresse est une cl§ secrete connue 
uniquement par le disposltif s6curis6, la m^molre 3 de stockage de cette cle est 
avantageusement hautement s6curisee afin de garantir la s6curite des messages 
6chang6s. 

Le module de calcul 4 est apte k determiner une partie d'une cl6 
privee d'un couple de cles priv6e/publique. G§neralement. une cl6 prlv6e PrivC, 
est une cle mixte constitute de deux parties. La premiere partie est form§e par 
une partie de la cl§ publique appel6e modulus n, dans tout " algorithme 
asymetrique. La deuxi^me partie est couramment appelee exposant secret d, 
dans les algorithmes asym6triques de type RSA : PrivC, = (n,. d,). Le module de 
calcul 4 est apte d calculer la deuxleme partie d, de la cl6 priv6e PrivC, S partir de 
ridentifiant CID, du disposltif client C, etde la cl6 maTtresse MK. 

Le module de calcul 4 comporte pr6f§rentiellement une unite de calcul 
6 apte g effectuer une fonction de modification de la longueur d'un identifiant CID, 
en une extension de I'identiflant notee ECID, Une fonction d'extension connue 
appel§e MGF peut par exemple §tre utillsee. Cette fonction permet d'6tendre un 
nombre de 64 bits en un nombre de 1024 bits. Cette fonction est notamment 
dtcrite dans le document de RSA Laboratories « PKCS #1v2.1 : RSA 
Cryptography Standard - June 14. 2002 » disponible a I'adresse Internet 
suivante : ftp://ftp.rsasecurity.com/pub/pkcs/pkcs-1/pkcs-1v2-1.pdf 

Le module de calcul 4 comprend une unit§ de chiffrement 7 de 
I'extension de I'identlfiant ECID, ^ partir de la cl6 maTtresse MK. Cette unite met 
en oeuvre un algorithme de derivation sym6trique. De fagon prEferentielie, 11 s'agit 
de I'algorlthme couramment appeie AES « Advanced Encryption Standard » 
utilise en mode CBC. Cet algorithme est decrit dans le document FIPS 197 26 
-Novembrei 2001 disponlbte rnfemet a T adresse • ' 



http : //csrc,nist.gov/publlcations/fips/fips197/fips-1 97.pdf. 

Avantageusement. le module de calcul 4 comprend egalement une 
unite de selection 8 de I'exposant secret d, en fonction du resultat ou chiffre ECID, 
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de I'extension de I'ldentifiant. Pour s6lectionner cet exposant secret d|, I'unit^ de 
selection 8 utilise une fonction deterministe. Par exemple, cette unit§ est propre a 
sSledionner une donn^e telle que cette donnSe remplisse les crlt^res cl- 
dessous : 

5 - cette donn6e di doit §tre infSrieure au r§sultat EClDi du chiffrement 

de I'extension de I'identifiant, 

- cette donn6e di doit §tre un. nombre le plus proche du r6sultat EClDi 
du cliiffrement de I'extension de I'identifiant, premier avec une liste de nombres 
premiers : 2, 3, 5, 7, 11, 13. Eventuellement, cette derni^re condition peut §tre 
10 etendue ^ une liste de nombres premiers plus longue. 

Schematiquement, le module de determination 5 peut §tre d6compos6 
en deux unites de calculs. Cheque unit6 6tant apte ^ calculer un 6l6ment de la 
de publique : PubCi = (ni, ei). 

La premiere unit^ de calcul 9 est apte d s6lectionner deux grands 
15 nombres premiers pi et qi g6n6r6s par le g6n6rateur de nombres al6atoires 2 :ide 
telle manlfere que (pi -1) x ( qi -1) est premier avec I'exposant secret di. En 
pratique, on g6nere d'abord un nombre pi tel que (pj-1) soit premier avec di. puis 
un nombre q-, tel que (qd ) soit premier avec di. ' [. 

Par ailleurs, cette unit6 de calcul 9 est apte ^ calculer la premiere 
20 partie de la cle privee appel6e modulus n-, tel que ni = pi x qi. Le modulus' ni 
constitue egalement un 6l§ment de la cl§ privee PrivCi= (ni, d\). 

La seconde unite de calcul 10 utilise un algorlthme d'Euclide 6tendu 
pour calculer I'autre element de la cl6 publique ei ^ partir des donn^es secretes 
Pi, qi et di. Cet algorlthme d'Euclide etendu est notamment d6crit dans I'ouvrage 
25 « Handbook of Applied Cryptography » de A. Menezes, P. van Oorschot et S. 
Vanstone, CRC Press, 1996, S la page 67. Cet ouvrage peut §tre consults d 
I'adresse Internet sulvante : http://www.cacr.math.uwaterloo.ca/hac/ 
Plus pr^cls^ment, on calcule la donn^e ei telle que : 
ei X di = 1 mod (pi-1 ) x (qi-1 ). 
30 Les dispositifs clients Q du r6seau comportent une m§moire 11 de 

stockage d'un identifiant CIDi et d'une cl§ publique PubQ (= (ni, e;) ainsi qu'un 
module de chiffrement asymetrique ou de verification de signature. 
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Classiquement, un dispositif s6curis6 1 et ies dispositifs clients d, Cj 
de son r6seau de communication sont personnalis6s ou initialises pour pouvoir 
^changer des messages chiffr§s, 

Les 6tapes de principe d'un proc6d6 de personnalisation d'un dispositif 
s§curise et des dispositifs clients selon I'invention vont maintenant §tre decrites. 

Le proc6d§ de personnalisation selon I'invention, comprend una 
premiere 6tape de generation d'une cl6 maitresse unique MK destin6e au 
dispositif s6curis6 1 et d'une plurality d'identifiants CID,. CIDj destines 6 
caract^riser ou personnaliser les dispositifs clients Q, Cj du r6seau. 

Ce precede comprend une deuxi^me 6tape de calcul d'un couple de 
cles priv6e/publique associ§ ^ chaque dispositif client. Speclfiquement, la cle 
privee est obtenue par chiffrement de I'identifiant CID, de chaque dispositif client 
Ci ^ I'aide de la cl6 maitresse MK du dispositif s6curis6 : PrivQ = f {MK} (CIDj). La 
cI6 publique PubC, correspondante est calcul§e d partir de la cl§ prlv6e 
notamment par application d'une fonction matii6matlque utilisant par exemple. un 
algorithme d'Euclide §tendu : PubQ = F (PrivCi). 

Selon une troisldme 6tape du precede de personnalisation du dispositif 
securise et des dispositifs clients du rdseau, les identifiants CID,, CIDj generes et 
les cl6s publiques PubC,.. Pubq calculees a partir de ceux-ci sont envoyes ^ 
20 cheque dispositif client Q, q du r^seau ou sont inseres dans les dispositifs 
clients lors de leur fabrication. 

Enfin. les cles privies correspondantes PrivQ. PrivCj, ainsi que 
rensembie des donnees intermediaires ayant pennis de calculer les couples de 
cles privee/pubiique sont detruites. Ainsi. le dispositif s^curise ne stocl<e aucune 
25 donnee associee a I'un quelconque de ces dispositifs clients. 

Les etapes d'un exemple de realisation du precede de 
personnalisation vont a present etre decrites en liaison avec la figure 4. 

Pendant une etape 41 de la phase de personnalisation des dispositifs 
du reseau. le generateur 2 gendre un nombre aieatoire de 128 bits qui constitue 
la cie mattresse MK et un nombre de 64 bits apte a devenir I'identifiant CID, d'un 

drsposftifclienrQ-§p-eralDnrialiser" 

Lors d'une etape 42. la cie maitresse MK ainsi generee est stockee 
dans la memoire 3 du dispositif securise 1. Cette cle maitresse MK servira de 
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base pour le calcul de I'ensemble des couples de cles priv§e/publique associ6s ^ 
tous ies dispositifs clients du r^seau. 

Lors d'une §tape 43, TunitS de calcul 6 6tend ridentifiant CIDi d'un 
disppsitif client Q par un algorithme d^extenslon pour g6n§rer un nombre de 128 
5 bits fonmant Textension de ridentifiant EClDi . 

Uextension de ridentifiant EClDi est ensulte chifTrSe d I'etape 44 ^ 
I'aide de la cl§ maltresse MK. Ce chiffrement est r6alis6 par runit6 de calcul 7 par 
application d'un algorithme symetrique de type AES. 

Puis, lors d'une 6tape 45, runit§ de selection 8 selectionne un nombre 
1 0 formant Texposant secret d|. 

Au cours des §tapes 46 et 47, le module de calcul 5 selectionne deux 
grands nombres premiers pi et qi et calcule la cle publique PubCi= (ni, ei) a partir 
de ces nombres et de I'exposant secret d|. 

Une fois la cle publique PubC) = (ni, eO d'un dispositif client donn^e Q 
15 calculee, le dispositif securis6 1 la iui envoie de fagon sOre et nqn d6talI16eu id 
accompagn6 de ridentifiant CIDi ^ Torigine du calcul de cette cle publique^ d 
I'etape 48, , , 

L'identifiant CIDi et ia cl6 publique PubCi sont enreglstres dan§; la 
memoire 1 1 du dispositif client Q. 
20 Avantageusement, selon Tinvention, la memoire 11 des dispositifs 

clients n'a pas besoin d'etre securisee centre la lecture car la decouverte de ia 
cle publique PubCi et de ridentifiant ClDi ne permet en aucune fagon le calcul de 
la cle privee correspondante PrivQ ou le calcul d'une autre cle privee ou publique 
du reseau, de sorte que la s6curlt6 du message chiffre transmis et du reseau de 
25 dispositifs recepteur /emetteur est preservee. 

En outre, l'identifiant CIDi ainsi que I'ensemble des donnees calculdes 
S partir de celui-ci et notamment Ies donnees secretes pi et qi, rexposant secret 
d|, I'exposant public ei, le modulus ni, et rextension de l'identifiant EClDi ne sont 
pas conserves dans la memoire 3 du dispositif s6curis§ 1 et sont d^truits a 
30 r6tape 49. 

En consequence, le piratage de la cl§ maTtresse ,MK ne permet pas le 
calcul des cles priv6e/publique associ6es S un dispositif client donne sans la 
connaissance de son identifiant. 
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Le proc§de de personnallsation a pour finallte de configurer ie 
dispositif s6curis§ et les disposltlfs clients de manure k permettre r§change des 
messages chlffr6s en vue de leur s6curlsation ou de leur Identification. 

Un exemple d'utllisation des disposltlfs §metteur/recepteur selon 
5 I'invention en r6f6rence aux figures 5 et 6 va §tre d§crlt d present. 

En particuiier. la figure 5 repr§sente {'architecture d'un dispositif client 
donn§ C, apte ^ envoyer un message chiffr6 E {Pub Cj} (m) ainsi que 
I'architecture d'un dispositif securis§ 1 apte a dechiffrer ce message. 

Classiquement, le dispositif client Cj comporte une m6molre 11 non 
1 0 volatile et un module de chiffrement 12. 

La m6moire 11 du dispositif client q comporte un identifiant CIDj et 
une cle publique PubCj composee d'un modulus n,, et d'une donnee publlque ej. 

Le dispositif s6curls6 1 comprend une m6moire 3 dans laquelle la cle 
maftresse MK est stock^e, un module de calcul 4 de I'exposant secret dj et un 
1 5 module de dechiffrement 1 3. 

Selon I'invention, le module de chiffrement 12 et le module de 
dechiffrement 13 utilisent des proc6d6s de cryptographie asym^trique mettant en 
CEUvre des algorithmes tels que par exemple I'algorlthme intitule RSAES-OAEP. 
Une description de cet algorithme peut etre trouvee dans le document « PKCS 
20 #1v2.1 : #RSA Crytography Standard » qui a d6ja 6t§ mentionn6 precedemment. 

Le module de calcul 4 de I'exposant secret dj comprend les mSmes 
unites de calcul que le module de calcul 4 utilise lors de la phase de 
personnallsation des dispositifs clients. En consequence, II calcule I'exposant 
secret d, a partir de ridentifiant CID, du dispositif client C, et de la cle maTtresse 
MK de la m§me maniere que lors de la phase de pereonnalisatlon de sorte que 
cet exposant secret d, corresponde toujours 6 la cl6 publique PubC, de 
chiffrement stock6e dans la memoire 1 1 du dispositif client Q. 

Le precede de chiffrement/dechiffrement pour securiser un message 
va etre decrit de maniere detainee en liaison avec la figure 6. 

Ce precede comprend une etape 61 de chiffrement du message a 
transmetfre. Ce" chWemenf est realise* par" le mbdOli de chiffreme'nt 12"du 
dispositif client Cj a I'aide de la cie publique PubCj= (nj, ej). 

E {Pub Cj} (m) = RSAES-OAEP Encrypt {(nj. ej)} (m) 
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Puis, lors d'une §tape 62, Tidentifiant CIDj et le modulus njdu dispositif 
client Cj ainsi que le message chiffr6 E {Pub Cj } (m) sont envoyes au dispositif 
s6curise 1 . 

Enfin, les unites de calcul 6, 7 et de selection 8 du module de caicul 4 
de I'exposant secret dj du dispositif s6curis6 1 rSaiisent une etape de calcul 63 de 
Textension de I'identifiant EClDj § partir de ridentifiant CIDj envoye par le dispositif 
client C], une 6tape de chiffrement 64 de I'extension de ridentifiant EClDj d Taide 
de la cl6 maTtresse MK et une 6tape de selection 65 de I'exposant secret dj ^ 
partir du r6sultat EClDi du chiffrement de Textension de ridentifiant. II est 
n§cessaire que I'unite de selection 8 utilise les memes regies de selection que 
celles appliquees lors de la phase de personnalisation des dispositifs clients. 

Finalement, le module de dechiffrement asymetrique 13 du dispositif 
securis6 1 realise une 6tape 66 de dechiffrement du message a I'aide de la cle 
priv6e mixte compos6e de I'exposant secret calcule dj et du modulus nj envoye 
par le dispositif client Cj : 

m = RSAES . OAEP - Decrypt {(dj. nj)} (E {Pub Cj} (m)) 
Avantageusement le dispositif s6curise 1 ne conserve aucune donpee 
Ii6e au dispositif client Cj 6metteur d'un message. Specifiquement, son iclentifiant 
CIDj, I'extension EClDj de son identifiant, son exposant secret dj et son ..modulus 
nj sont d6truits lors de T^tape 67. ,r 

Le proced§ de chiffrement/dechiffrement de Tinvention permet 
6galement d'identifier un message par apposition d'une signature par le dispositif 
securis6 1 et verification de cette signature par un dispositif client Cj ^ qui est 
destine le message sign6, 

Le proc6d6 de chiffrement/dechiffrement de invention utilise pour 
identifier I'origine d'un message va etre d^crit en liaison avec les figures 7 et 8. 

La figure 7 represente schematiquement Tarchitecture d'un dispositif 
securis6 1 et d'un dispositif client Cj . 

Le systeme compos6 d'un dispositif securise et d'un dispositif client 
est similaire au systeme decrit en liaison avec la figure 5. En consequence, les 

Elements communs aux figures 5 et 7 reprennent les mSmes references et ne 

i 

seront pas ^ nouveau d^crits. 

En fait, le syst6me dispositif s6curls6/dispositif client comporte les 
memes modules 4 et memoires 3, 11 hormis )e module de dechiffrement 13 du 
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dispositif s§curise et le module de chiffrement 12 du dispositif client qui sont 
remplaces respectivement par un module de g6n6ratlon de signature 14 et par un 
module de verification 16 de signature. 

Le proc§d§ de chlffrement/d^chlffrement utllls6 pour la signature d'un 
5 message comprend une 6tape 81 au cours de laquelle le dispositif s§curis§ 1 
demande I'identlfiant CIDj et le modulus nj au dispositif client Cj ^ qui 11 souhalte 
envoyer un message m sign6. 

Au cours des 6tapes 82, 83, et 84. le module de calcul 4 du dispositif 
securls§ 1 recalcule Texposant secret dj du dispositif client Cj ^ partir de 
10 I'identlfiant envoye CIDj et de la cl6 maTtresse MK de la m§me maniSre que dans 
le proc6de de chiffrement/dechiffrement utilise pour la securisation ou la 
personnalisation d'un message et d6crlt pr6c6demment. 

Puis, lors d'une 6tape 85, le module de signature 14 du dispositif 
s6curis6 1 signe son message a I'alde de Texposant secret dj calcuI6 et du 
15 modulus n, envoy6 par le dispositif client Cj : S{PrlvC,}(m) avec PrivCj = (dj. nj). 

Enfln. le dispositif de s§curisation 1 envole au cours d'une §tape 86, 
un message m ainsi que sa signature S {(dj. n,)} (m) au dispositif client defini Cj. 

Lors d'une §tape 87, le module de verification 16 du dispositif client Cj 
v6rifle la signature du message ^ I'aide de la cle publique Pubq = (nj. ej) stoc(c6e 
20 dans sa memoire 1 1 et correspondant k la cle privee PrivCj = (dj. nj) en effectuant 
■'operation : 

V{PubCj} (S {PrivCj} (m)) = 0 ou 1 

Lors d'une 6tape 88. 1'identifiant CIDj du dispositif client d6finl C, et les 
donn§es intermediaires CIDj. EClDj. dj et nj ayant pemils de determiner la cl6 
25 priv6e sont d^truits par le dispositif s6curise. 

Pour les operations de signature S et de verification de signature V. on 
pourra notamment utiliser I'algorithme RSASSA-PSS qui est decrit dans' le 
document « PKCS#1 v2.1 :RSA Cryptography Standard » mentionn6 plus haut. 
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REVENDICATIONS 



1. Procecl6 de chlffrement/d6chlffrement d'un message ^ ^changer 
entre un 6metteur et un r^cepteur par I'intermediajre d'un r6seau de 
communication, I'^metteur et le r6cepteur 6tant Tun et i'autre d'un dispositif 
s§curise (1) et d'un dispositif client d^fini (Q) dans un reseau de dispositifs clients 
(Ct, Q), le procSd^ comprenant les §tapes de : 

- realisation d'op6rations de cryptographie asym6trique par le dispositif 
s6curis6 (1) et par le dispositif client d^fini (Ci) respectivement a I'aide d'une de 
priv6e (ni, di) et d'une cl6 publique (ni, eO, la cle priv^e etant differente de la cle 
publique, et 

- envoi (62, 81) d'au moins une donn6e publique (ni, CIDi) du dispositif 
client d§fini (CO vers le dispositif s6curis6 (1), 

caracterisS en ce qu'il comporte en outre, lors de chaque 
Emission/reception d'un message chiffrS par le dispositif sScurise, une etape de 
determination de la cle priv6e (ni, di) correspondent d la cie publique (ni, e^.du 
dispositif client defini (Q), d partlr d'une cie maltresse secrete (MK) stpckee dans 
le dispositif s6curls§, et de la ou de chaque donn6e publique (ni, CID|) .envoyee 
par le dispositif client defini (Ci). 

2. Precede de chiffrement/dechiffrement d'un message selon.. la 
revendication 1 , caracterise en ce que I'etape d'envoi (62, 81) de la ou de chaque 
donnee publique comprend une etape d'envoi d'une partie (nt) de la cie publique, 
cette partie de la cle publique formant une premiere partie de la cl6 privee. 

3. Proc6de de chiffrement/dechiffrement d'un message selon I'une 
quelconque des revendications 1 et 2, caracterise en ce que I'etape d'envoi (62, 
81) de la ou de chaque donnee publique comprend une etape d'envoi d'un 
Identlfiant (CID|) du dispositif client (C|), et I'etape de determination de la cie 
privee comprend une etape de calcul d'une seconde partie (di) de la cie privee a 
partlr dudit identlfiant envoye. 

4. Precede de chiffrement/dechiffrement d'un message selon la 
revendication 3, caracterise en ce que I'etape de detemnln^tion de la cie privee 
(ni, di) con-espondant e la cie publique (m, ej) du dispositif client, comprend une 
etape de chlffrement (44, 64, 83) du resultat (EClDi) d'une fonction appliquee a 
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I'identiflant (CIDi) du dispositif client defini (Q), par un algorithms sym6trique, d 
{'aide de la cl§ maTtresse secrete (MK). 

5. Precede de chlffrement/d6chlffrement d'un message selon la 
revendlcatlon 4. caract§rls6 en ce que l'§tape de d6temiinatlon de la cl§ priv6e 
(ni, di) con-espondant S la ci§ publique (nj, ei) du dispositif client, comporte une 
6tape de selection (45. 65, 84) de la seconde partie (d|) de la de prlv§e. par une 
unit§ de calcul deterministe (8). § partir du resultat dudit clilffrement du r6sultat 
(EClDi) d'une fonctlon appliqu6e ^ I'identifiant (C1D|) du dispositif client defini (d). 

6. Proc6d6 de chlffrement/deciiiffrement d'un message selon la 
revendication 5, caracteris§ en ce que I'etape de selection de la seconde partie 
(d|) de la cle priv6e, par I'algorithme d6terministe. est r6alis§e par une selection 
d'un nombre tel que : 

- ce nombre solt inf6rieur au r6sultat dudit chHTrement du r6sultat 
(EClDi) d'une fonctlon appliqu§e ^ I'ldentrfiant (CID|) du dispositif client d6fini (Q), 

- ce nombre soit le plus proche du r6sultat dudit chiffrement du resultat 
(EClDi) d'une fonctlon appllqu6e a I'identifiant (CIDi) du dispositif client d6fini (Ci), 
et soit premier avec une llste de nombres premiers. 

7. Proc6d6 de chiffrement/d6chiffrement d'un message selon I'une 
quelconque des revendications 3^6, caract^rise en ce qu'il comprend une 6tape 
de destruction (49. 67. 87) de I'identifiant (CIDi) du dispositif client defini (C,) et de 
toutes les donn^es (pi, q,, di, EClDi, ei. m) calcul6es § partir de I'identifiant pour 
determiner la c\§ privee. 

8. Precede de chiffrement/d6chiffrement d'un message selon I'une 
quelconque des revendications pr6cedentes, caract§ris6 en ce que les 
operations de cryptographie comprennent une operation d'identification d'un 
message comprenant les Stapes sulvantes : 

- signature du message (85), par le dispositif s6curise (1), a I'aide de la 
cl6 priv6e (ni, d|) diterminee pendant l'6tape de determination de la cl6 priv6e, 

- transmission de la signature du message et du message (86) au 
dispositif client pour verification de cette signature, et 

- verification de ia signature (87) du message, par le dispositif client. ^ 
I'aide de ladite cl§ publique (ni, ei). 

9. Precede de chiffrement/dechiffrement d'un message selon I'une 
quelconque des revendications pr6c§dentes. caracterise en ce que les 
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operations de cryptographie comprennent une operation de securisation d'un 
message comprenant les stapes suivantes : 

- chiffrement (61) d'un message (m), par le dispositif client (Q), a Taide 
de ia cl^ pubiique (ni, Si) , 

- transmission (62) du message chiffr^ au dispositif sScurls^ (1), et 

- d§chiffrement (66) du message chiffre par le dispositif s§curis6 (1), § 
I'alde de la cie privee (nj, di) d6tenninee pendant I'6tape de d6terminatlon d'une 
cl6 privee. 

10. Proc§d6 de chiffrement/dechiffrement d'un message selon Tune 
quelconque des revendications 3 a 9, caracteris6 en ce qu'il comporte une phase 
prealable de personnalisatlon dudit dispositif client defini (Q), qui comprend les 
etapes suivantes : 

- generation, par le dispositif s6curise (1), d'une cl6 maTtresse secrete 
(MK) unique et d'un identifiant (CIDi) propre audit dispositif client d§i;ini (Ci) et 
apte ^ ridentifier, 

- calcul de ladite de pubiique (ni, ei) du dispositif client d6fini (Ci) par 
un module de calcul (5) d partir de ia seconde partie (di) de la cl6 priv6e. ; , 

1 1 . Precede de chiffrement/dechiffrement d'un message selpn la 
revendication 10, dans lequel ia phase de personnalisatlon comporte en outre les 
6tapes suivantes : \ / 

- selection (46) de deux donnees secretes constitutes de deux grands 
nombres premiers Pi, qu tels que (pr1 ) x (qr1 ) soit premier avec la seconde partie 
(d|) de la o\6 priv6e du dispositif client defini (Q), et 

- calcul (48) d'un modulus ni du dispositif client d§fini (d) tei que : 
m = Pi X qi, et 

- calcul (48) d'une partie (ei) de la cle pubiique par un algorithme 
d'Euclide 6tendu a partir de ia ou de chaque donnee secrete pi, qi et du modulus 
nj du dispositif client d6fini (C|). 

12. Dispositif securise (1) apte S 6changer un message avec un 
dispositif client defini (Q) d'un r6seau de dispositifs clients (C|, Cj). sur un reseau 
de communication, le dispositif s6curise etant apte ^ reqevpir au moins une 
donn6e pubiique (CIDj, nO propre audit dispositif client defini (Q) et envoyee par 
celui-ci pr6alablement a tout ^change de messages, le dispositif s6curise (1) 
comprenant : 
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- des moyens de realisation d'op6rations de cryptograpiile asym^trique 
a I'aide d'une cl6 priv6e (n,. dj) correspondant k une cl6 publique (n,, ei) stock6e 
dans le dispositif client defini (d) 

caracterisd en ce qu'il comprend, en outre : 

- des moyens de stockage (3) s^curises d'une cl6 maTtresse (MK), 

- des moyens (4) de d6temiination de ladite cle privee (d,, m) a partir 
de la cl6 maTtresse (MK) et de la ou de chaque donnee publique (CID,, n,) 
envoyee. 

13. Dispositif s§curis6 selon la revendication 12, caract6ris6 en ce que 
la donn6e publique (CID,, n,) comprend une partie (n,) de la cl§ publique dudit 
dispositif client defini (Q) et/ou un identifiant (CID,) du dispositif client d^finl. 

14. Dispositif s§curis§ selon la revendication 13, caract6rise en ce que 
la cl6 privee est une cl6 mixte comprenant une premidre partie (n,) con-espondant 
k une partie de la cl6 publique (n,. e,) dudit dispositif client (C,) d6finl et une 
deuxi6me partie secrete (d.) calculee k partir de ia cl6 maTtresse (MK) et de 
I'Identiflant (CIDj) du dispositif client d6finl. 

15. Dispositif s6curis6 selon I'une quelconque des revendications 12 ^ 

14. caract^rise en ce que les moyens de realisation d'operations de 
cryptographie asym§trique ^ I'aide de la cl§ priv6e (d,. n,) determin^e 

20 comprennent : 

- des moyens de signature (S) d'un message (m), et 

- des moyens de chlffrement (E) d'un message (m). 

16. Dispositif s^curise selon I'une quelconque des revendications 14 § 

15. dans lequel les moyens de d§temiination (4) de ia cle privee comprennent en 
25 outre : 

- une unite de chiffrement (7) sym§trlque, k I'aide de la cl6 maTtresse 
(MK). apte k chiffrer le r§sultat (ECID,) d'une fonction appliqu6e § I'identifiant 
(CIDi) du dispositif client d§flni (Q), et/ou 

- une unit6 de calcul (8) d'un algorithms deterministe de selection de la 
deuxieme partie secrete (d,) de la cle priv6e ^ partir du r6sultat du chiffrement 
realist par {'unite (7) de chiffrement symetrique. 

17. Dispositif securise selon I'une quelconque des revendications 14 a 

16. caracterise en ce qu'il comprend outre un moyen d'initialisation des dispositifs 
clients du reseau, ledit moyen d'initialisation comprenant : 
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- un moyen de g6n6ration (2) aleatoire d'une cle mattresse unique 
(MK) et d'une plurality d'identiflants (CIDj. CID|) distincts las uns des autres. 
chaque identifiant 6tant propre a caracteriser un unique dispositif client (C|) du 
r^seau de dispositif client, 

5 - une unit6 de calcul (9) apte d s6Iectlonner deux donn^es secri»tes (pi, 

qi) en fonctlon de la valeur de la deuxidme partle secrete (di) de la cle priv6e et d 
caiculer une premiere partle (ni) de la cl^ publique, et 

- une unlt6 de calcul (10) de la seconde partie (ei) de la cl6 publique, 
par un algorlthme d'Euclide Etendue, § partir des donn§es secretes (p,, q,). de la 

10 deuxidme partie (dO de ia cle privee et de la premiere partie (m) de la cle 
publique. 

18. Programme d'ordinateur comportant des instructions pour 
I'executlon des 6tapes de procede de chiffrement/d^chiffrement d'un message 
selon rune quelconque des revendications 1 & 11, lorsque le prografnme est 

1 5 ex§cut6 sur un dispositif s§curis6 r6alls6 d partir d'un calculateur programmable. 

19. Support d'enreglstrement utillsable sur un dispositif securls6 
r6alis6 g partir d'un calculateur programmable sur lequel est enreglstre le 
programme selon la revendlcatlon 18. 
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49 -^ ^Destruction de Pi,qi,d^,ECID.CID^,n^,e^] 
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Chiffrement du message 
par la cle publique 



62- 



Envoi de 
CIDj,E{PubCj}(m) ,nj 



63- 



6^ 



65- 



Calcul de 
ECIDi 



Chiffrement de 
ECID, 



Calcul de di 



66 



— Dechiffrement du message 



67 




Destruction de CIDj,ECIDj,di,ni 



FIG. 6 
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Demande de CIDj et de 
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86- 



87- 



88- 



82- 



Calcul de 
ECIDi 



83- 



Chiffrement de 



84- 



Calcul de di 



Signature du message 



Envoi du message 
et de sa signature 



Verification de la 
signature du message 



Destruction de 
CIDj,ECIDpnj,dj 



FIG.8 



NATIOHAt OB 
LA PROPRIBTC 
INSUfTRIiUB 



BREVET D'INVENTION 
CERTIFiCAT D'UTILITE 

Code de la propridtS Intellectuetle - Uvre VI 



N« 11235*03 



D^PARTEMENTOES BREVETS 

26 bis, rue de Saint P6tersbourg 
75800 Paris Cedex 08 

Telephone : 33 (1) 53 04 53 04 Tdlteople : 33 (1) 42 94 86 54 



DESIGNATION D'INVENTEUR(S) Page N° /J. / A 

(A fournir dans le cas ou les demandeurs et 

les inventeurs ne sont pas ies m§mes personnes) 

Cet (mprim^ est k remplir lisiblement ^ I'encre noire 



INV 



Vos references pour ce dossier (Jacultaiif) 



08 113 W/ 270601 



N"" D'ENREGiSTREMENT NATIONAL 



TITRE DE L'INVENTION (200 caracteres ou espaces maximum) 

Precede de chif f rement/dechif f rement d'un message et dispositif associe, 



LE(S) DEIVIANDEUR(S) : 

THOMSON LICENSING S.A, 



DESIGNE(NT) EN TANT QU'INVENTEUR(S) s 



Q Norn 




Prenoms 


— AITDRBAUX ^ 


Adresse 


Rue 


LJeau^-^tteorre— _ l, . 

20, rue de Lorgeril 




Code postal et ville 


' ^ ^ ' ' * 3D0OO REJSttJ4^fei FRANCE 


Society d'appartenance (facidtatif) 




B Nom 




Prenoms 






Adref^e 


Rue 






Code postal et ville 


1 1 1 1 . 1 


Societe d'appartenance (facultaiif) 




El Nom 




Prenoms 




Adresse 


Rue 






Code postal et ville 


1 1 1 . . 1 


bociete d'appartenance (facultaiif) 





y a plus de trois inventeurs, utilisez plusieurs formulaires. Indiquez en haut a droite le N** de la page suivi du nombre de 



DATE ET SIGNATURE(S) 

DU (DES) DEMANDEUR(S) Paris/ le 4 juillet 2003 

ou DU MANDATAIRE 
(Nom et quallte du signataire) 

B. DOMENEGO 
n<> 00-0500 




La ioi n''78.17 du 6 janvier 1978 relative a I'informatlque, aux fichiers et aux libertes s'applique aux reponses faites d ce formulaire. 
tile garantit un droit d'acc^s et de rectification pour les donn^es vous concemant aupr§s de TINPI. 



